新變異Petya勒索病毒查殺工具綠色免費(fèi)版

新變異Petya勒索病毒查殺工具是一款近日最新變異出來(lái)的電腦病毒，這也是一款勒索病毒，會(huì)鎖死你的電腦文件，然后進(jìn)行現(xiàn)金勒索，國(guó)內(nèi)已經(jīng)有部分開(kāi)始傳播了，趕緊下載查殺工具吧！

新變異Petya勒索病毒相關(guān)新聞

與Wannacry勒索病毒技術(shù)同源（基于NSA的永恒之藍(lán)代碼）的Petya勒索病毒變種本周二在全球爆發(fā)，英國(guó)（WPP）、烏克蘭、波蘭、意大利、丹麥（Maersk）、俄羅斯（Rosnoft）美國(guó)（Merck）多家大型企業(yè)報(bào)告遭受病毒襲擊，其中重災(zāi)區(qū)烏克蘭的政府、國(guó)有銀行、交通、能源等關(guān)鍵基礎(chǔ)設(shè)施和部門遭受襲擊，甚至烏克蘭總理的電腦都遭受攻擊。

根據(jù)最早發(fā)現(xiàn)并分析Petya病毒的卡巴斯基和Avast等安全公司的判斷，Petya勒索病毒在初始階段的規(guī)模和速度都超過(guò)了此前震驚全球的Wannacry勒索病毒，但是兩者的運(yùn)作方式和傳播機(jī)制有很大區(qū)別。

Petya勒索病毒也會(huì)掃描內(nèi)網(wǎng)并通過(guò)SMB協(xié)議漏洞傳播，但與Wannacry不同，根據(jù)比利時(shí)網(wǎng)絡(luò)應(yīng)急團(tuán)隊(duì)CERT.be的報(bào)告，Petya還利用了FireEye公司四月份公布的另外一個(gè)Windows漏洞，攻擊者可以利用釣魚(yú)郵件發(fā)送的惡意文件在受害者電腦上運(yùn)行命令。這也使得Petya勒索病毒能夠感染此前已經(jīng)修補(bǔ)永恒之藍(lán)漏洞布丁的計(jì)算機(jī)。

新變異Petya勒索病毒詳細(xì)介紹

1.感染并加密本地文件的病毒進(jìn)行了更新，殺毒軟件除非升級(jí)至最新版病毒庫(kù)，否則無(wú)法查殺及阻止其加密本機(jī)文件系統(tǒng)；

2.“5.12WannaCry”及“6.23勒索軟件新變種”在傳播方面，分別利用了微軟Windows系統(tǒng)的一個(gè)或者若干個(gè)系統(tǒng)漏洞，而Petya綜合利用了“5.12WannaCry”及“6.23勒索病毒新變種”所利用的所有Windows系統(tǒng)漏洞，包括MS17-010(5.12WannaCry永恒之藍(lán)勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新變種)等補(bǔ)丁對(duì)應(yīng)的多個(gè)系統(tǒng)漏洞進(jìn)行傳播。

3.本次新變異病毒（Petya）是直接將整個(gè)硬盤加密和鎖死，用戶重啟后直接進(jìn)入勒索界面，若不支付比特幣將無(wú)法進(jìn)入系統(tǒng)。

新變異Petya勒索病毒應(yīng)對(duì)方法

目前優(yōu)先處理步驟如下：

1、補(bǔ)丁修復(fù)(如已按我們之前的通報(bào)，升級(jí)所有補(bǔ)丁，則可略過(guò)此步驟)

2、殺毒軟件升級(jí)及監(jiān)控

3、提升用戶信息安全意識(shí)度

1.補(bǔ)丁修復(fù)：

如前所述，本次Petya利用了“5.12WannaCry”及“6.23勒索軟件新變種”的所有漏洞，因此，補(bǔ)丁方面必須完成“5.12WannaCry”及“6.23勒索軟件新變種”對(duì)應(yīng)的所有補(bǔ)丁，包括：

(可聯(lián)系我們索取以上漏洞及補(bǔ)丁原文件)

廠商無(wú)補(bǔ)丁或無(wú)法補(bǔ)丁的修復(fù)建議：

端口限制：使用系統(tǒng)自帶的防火墻設(shè)置訪問(wèn)規(guī)則，即使用系統(tǒng)自帶的防護(hù)墻，設(shè)置遠(yuǎn)程訪問(wèn)端口137、139、445、3389的源IP：

3389端口設(shè)置：

Windows 2003：通過(guò)防火墻策略限制訪問(wèn)源IP

Windows 2008：在組策略中關(guān)閉智能卡登錄功能:

組策略(gpedit.msc)-->管理模板-->Windows組件-->智能卡

2.殺毒軟件升級(jí)及監(jiān)控

聯(lián)系貴公司防病毒軟件解決方案供應(yīng)商，確認(rèn)其最新病毒庫(kù)已經(jīng)可以查殺Petya病毒；升級(jí)相應(yīng)病毒庫(kù)并推送至所有服務(wù)器及主機(jī)。

3.提升用戶信息安全意識(shí)度：

本次Petya病毒的感染源頭依然是通過(guò)電子郵件向用戶發(fā)送勒索病毒文件的形式（或者是用戶主動(dòng)下載帶病毒的軟件并打開(kāi)），所以提升用戶信息安全意識(shí)度是關(guān)鍵的應(yīng)對(duì)措施之一。

用戶下載文件包中如發(fā)現(xiàn)包含有異常的附件，則必須注意該附件的安全，在無(wú)法確定其安全性的前提下，提醒用戶不要打開(kāi)。

建議進(jìn)一步加強(qiáng)對(duì)高管及用戶的信息安全意識(shí)度宣貫，并且需要結(jié)合最新的信息安全趨勢(shì)或者熱點(diǎn)問(wèn)題進(jìn)行不同主題的宣貫，而且要持之以恒。

WannaCry勒索病毒攻擊者利用Windows系統(tǒng)默認(rèn)開(kāi)放的445端口在企業(yè)內(nèi)網(wǎng)內(nèi)進(jìn)行病毒傳播與擴(kuò)散，并且更為嚴(yán)重的是，攻擊者不需要用戶進(jìn)行任何操作即可自行進(jìn)行病毒的感染與擴(kuò)散。感染后的設(shè)備上所有的文件都將會(huì)被加密，無(wú)法讀取或者修改，也即造成了整個(gè)系統(tǒng)的癱瘓：

在5月13號(hào)，普華永道網(wǎng)絡(luò)安全法及隱私保護(hù)咨詢服務(wù)團(tuán)隊(duì)向您做出了及時(shí)的通報(bào)，并提供了有關(guān)的應(yīng)對(duì)建議，同時(shí)協(xié)助許多客戶進(jìn)行了應(yīng)對(duì)操作（譬如立即修補(bǔ)有關(guān)系統(tǒng)補(bǔ)丁，如MS17-010補(bǔ)丁等）。

在6月13日，微軟發(fā)布了Windows系統(tǒng)的新漏洞通報(bào)（“CVE-2017-8543、CVE-2017-8464”），并且提供了有關(guān)的補(bǔ)丁。在昨天（6月22日），黑客利用微軟Windows系統(tǒng)的上述新漏洞，開(kāi)發(fā)出新變種的勒索病毒，并在過(guò)去幾天向互聯(lián)網(wǎng)展開(kāi)了初步攻擊，由于感染及傳播需要一定的時(shí)間，因此，攻擊效果集中于昨天出現(xiàn)。截至今日，主要受攻擊及影響的對(duì)象集中于工廠、酒店、醫(yī)院及零售行業(yè)。

本次新一輪變種勒索病毒攻擊的原理：

本次攻擊利用了微軟Windows系統(tǒng)的兩個(gè)新漏洞“CVE-2017-8543、CVE-2017-8464”，該病毒利用以下方式來(lái)攻擊并加密被攻擊對(duì)象系統(tǒng)中的文件：

1.利用Window Search（Windows Search的功能是為我們電腦中的文件、電子郵件和其他內(nèi)容提供內(nèi)容索引、屬性緩存和搜索結(jié)果，默認(rèn)的服務(wù)狀態(tài)是處于開(kāi)啟的狀態(tài)）漏洞來(lái)提高權(quán)限并遠(yuǎn)程執(zhí)行加密命令，從而達(dá)到對(duì)全盤文件進(jìn)行加密的結(jié)果；

2.自動(dòng)創(chuàng)建Windows快捷方式LNK（.lnk），通過(guò)LNK來(lái)提高權(quán)限，并對(duì)文件進(jìn)行加密。

在加密過(guò)程中，全程都沒(méi)有任何彈框提示就直接加密文件或?qū)е码娔X藍(lán)屏（這是與5.12勒索病毒軟件不同的其中一個(gè)特點(diǎn)）。

應(yīng)對(duì)建議：

目前優(yōu)先處理步驟如下：

1、補(bǔ)丁修復(fù)

2、添加郵件網(wǎng)關(guān)黑名單

3、殺毒軟件升級(jí)及監(jiān)控

4、提升用戶信息安全意識(shí)度

1.補(bǔ)丁修復(fù)：

目前微軟已發(fā)出補(bǔ)丁，下載地址如下：

https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

具體操作指南：

先打開(kāi)https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms，會(huì)看到CVE-2017-8543、CVE-2017-8464，找到相應(yīng)版本的補(bǔ)丁進(jìn)行下載（目前XP、Window2003不受影響），并執(zhí)行相應(yīng)主機(jī)及個(gè)人電腦的補(bǔ)丁升級(jí)。

2.添加郵件網(wǎng)關(guān)文件黑名單

在原有的黑名單上，增加如下后綴：

.lnk

.link

3.殺毒軟件升級(jí)及監(jiān)控

3.1.病毒庫(kù)升級(jí)及推送至所有服務(wù)器及主機(jī)；

3.2.殺毒軟件控制臺(tái)監(jiān)控：

查看殺毒軟件控制臺(tái)查看報(bào)警信息，如是否有入侵事件，如針對(duì)SMB攻擊（如SMB BoublePulsar ping、溢出攻擊），對(duì)已感染的進(jìn)行處理；

注：下面為某客戶受到攻擊時(shí)的異常事件日志信息，僅供參考：

本次新勒索病毒變種，雖然是利了微軟Windows系統(tǒng)的新系統(tǒng)漏洞，但其感染源頭依然是通過(guò)電子郵件向用戶發(fā)送勒索病毒文件的形式（或者是用戶主動(dòng)下載帶病毒的軟件并打開(kāi)），所以提升用戶信息安全意識(shí)度是關(guān)鍵的應(yīng)對(duì)措施之一。

用戶下載文件包中如發(fā)現(xiàn)包含有異常的附件（本次是.lnk/.link的文件），則必須注意該附件的安全，在無(wú)法確定其安全性的前提下，提醒用戶不要打開(kāi)。

建議進(jìn)一步加強(qiáng)對(duì)高管及用戶的信息安全意識(shí)度宣貫，并且需要結(jié)合最新的信息安全趨勢(shì)或者熱點(diǎn)問(wèn)題進(jìn)行不同主題的宣貫，而且要持之以恒。